操作系统账户锁定(pam_tally, faillock,usermod,expires)

最新推荐文章于 2025-05-21 07:00:00 发布
最新推荐文章于 2025-05-21 07:00:00 发布
阅读量3.2k 收藏 20
点赞数 28
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangchao2679/article/details/138977097

一、pam_tally导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置,只在system-auth中增加不起作用。

auth        required      pam_tally2.so  deny=3 unlock_time=60

该配置不会锁定管理员root用户,只会锁定普通用户;

要同时锁定管理员用户,需要增加even_deny_root参数,使限制同时对root生效。

auth        required      pam_tally2.so  deny=3  even_deny_root unlock_time=60

2、使用错误账户密码登录3次就会锁定60秒

3、使用root用户解锁

# pam_tally2 -u ossadm -r --reset

解锁后错误登录次数会清除

如果是等60s自动解锁后,不会清除错误登录次数。如果使用正确密码登录成功一次,会清除错误登录次数。

二、pam_faillock导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置

auth        required      pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=60

尝试错误登录3次,锁定60s

主要看faillock命令显示的valid值,V表示有效(错误密码登录), I表示无效。

查询每个用户尝试失败次数,如ossadm

# faillock --user ossadm

解锁用户

# faillock --user ossadm --reset

faillock模块不会因为中途输入正确密码而重置错误次数,错误次数不不断累加。

三、用户禁用

 # usermod -L ossadm

禁用用户后使用正确的密码不能正常登录, 被锁定账户加密串前会存在!或者*

 # usermod -U ossadm

四、用户不能su切换到root

 auth           required        pam_wheel.so use_uid

注释该行后ossadm用户可以su到root

取消注释后ossadm用户不能su到root

使用gpasswd将ossadm添加进wheel组之后,ossadm可以正常切换root。

五、账户密码过期

#  chage -I -1 -m 0 -M 99999 -E -1 ossadm

-I, --inactive INACTIVE       设置密码过期后不活动

密码过期后输入正确密码的提示:You are required to chage your password immediately(administrator enforced)

Changing password ossadm

Current password:

New password:

-E, --expiredate EXPIRE_DATE       设置账户过期日期

账户过期输入正确密码的提示:Your account has expired; please contact your system administrator.

su:User account has expired

 -m, --mindays MIN_DAYS   密码最短使用期限

 -M, --maxdays MAX_DAYS  密码最长使用期限

PAM认证模块应用实训 :对SSH远程登录多次失败的用户账号进行锁定解锁
qq_35447918的博客
05-05 2771
任务背景: 真实场景中的企业服务器,有时需要限制远程用户的登录次数,避免恶意用户多次尝试输入不同的密码,进行碰运气的撞库攻击,这个功能可以通过PAM认证模块的pam_tally2.so动态库来实现 操作步骤: 1)对Linux的进行基本网络配置,使得win7和Linux能互相ping通对方的Ip地址,确保win7和Linux网络是联通的 2)启动远程登录工具Xshell,新建SS...
linux运维-sshd】pam_faillock: Consecutive login failures for user root account temporarily locked
SmlLucky的博客
02-08 981
业务系统配置文件中记录root用户密码,客户自己修改了主机root密码,但是业务系统的配置中没有及时更新,业务系统自动使用旧密码多次登录失败后导致root账户锁定
Linux系统之faillock详解
最新发布
weixin_56303229的博客
05-21 420
faillock 是与 pam_faillock.so 模块配合使用的工具,用于管理用户的认证失败记录。当用户连续多次登录失败超过预设阈值时,系统会锁定用户账户faillock 可以显示或重置特定用户的失败记录,帮助管理员监控和管理账户锁定状态。
pam模块之faillock
qq_42249813的博客
06-21 9051
pam模块之faillock
PAM安全配置-用户密码锁定策略
wangluoanquan111的博客
04-10 1701
PAM是一个用于实现身份验证的模块化系统,可以在操作系统中的不同服务和应用程序中使用。
Centos8:pam包中pam_tally2.so被删除,由pam_faillock.so替代
weixin_46156844的博客
03-05 7226
centos8版本的pam包中已经不再提供pam_tally2.so,完全由pam_faillock.so所替代。 命令保持一致。 例如: auth required pam_tally2.so deny=3 unlock_time=300 密码3次错误锁定解锁等待300s。 由下面代码所替换 auth required pam_faillock.so deny=3...
Linux_pam.d/faillock
daotoyi的博客
04-21 1588
导言 Removed deprecated pam_tally and pam_tally2 modules, use pam_faillock instead. 建立存储目录 mkdir /var/log/faillock faillock相关的信息会以用存储在这个目录下 配置 远程登录文件/etc/pam.d/sshd auth requisite pam_faillock.so preauth auth [success=1 de
Spring cloud 安全部署与性能优化
07-16 1200
关于 nofile 即打开文件数,这个跟socket有非常紧密的关系,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够的。这样做的确非常方便,这样做是偷懒,会带来很多问题,如果你的服务器被攻击,由于你的设置,系统将耗光你的资源,直到没有任何响应为止,你可能键盘输入都成问题,你不得不重启服务器,但你会发现重启只能维持短暂几分钟,又会陷入无响应状态。但是你是否想过你的电脑一旦丢失或者被其他人进入,那有多么危险。
Linux使用PAM锁定多次登陆失败的用户
weixin_33843409的博客
10-10 243
如何在Linux环境中使用PAM锁定多次登录失败用户修改如下文件:/etc/pam.d/sshd (远程ssh)/etc/pam.d/login (终端)内容如下:#%PAM-1.0 authrequiredpam_tally2.sodeny=3unlock_time=120even_deny_rootroot_unlock_time=1200 aut...
Linux如何通过PAM限制用户登录失败次数
热门推荐
linfanhehe的专栏
11-27 1万+
现在很多地方都有限制用户登录的功能,Linux也是如此,当你登录失败多次后就可以限制用户登录,从而起到保护电脑安全的作用,通过PAM模块即可实现,下面随小编一起来了解下吧。   Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。   编译PAM的配置文件# vim /etc/pam.d/login   #%PAM
Linuxfaillock 命令使用
一个写了10年bug的程序员日常笔记。
02-24 2657
faillock
关于pamtally2、faillock模块的记录
weixin_43266218的博客
10-23 1313
1、 Make sure the counter is set to zero Attempt deny number of logins using wrong password, so the account is locked. Wait for unlock_time check the counter using pam_tally2, it shows the number of failures instead of zero. 2、 The problem with /etc/pam.d/s
Linux pam_faillock 模块 xx次错误密码尝试后锁定xx分钟
KasaCode的博客
01-12 1511
pam_faillock.so默认启用15分钟内输入三次错误的密码后锁定用户10min Locked out after three wrong password attempt 这时如果有root权限可以使用 faillock --reset --user 用户名 来解锁用户
linux下怎样查看是否存在被锁定账号
aoxiangchina的博客
09-01 2331
linux修改密码命令的方法是:普通用户一般使用该命令都是修改登录密码,使用方法也很简单,只有在提示符下输入 passwd ,按照提示输入原密码,然后再两次输入新密码就可以了,但是要注意密码的复杂度,否则系统不会接受。这个错误是因为次数过多的原因导致的账号被锁 1,启动虚拟机,出现下面的倒计时界面时,按键盘上的e键 (说明:要确保光标此时已经在虚拟机内了,要不然,按了e键,也是在windows内,无效。1、设置完成之后,输入3次错误,即锁定用户十分钟,期间输入的密码即使是对的,也会提示错误。
PAM用户认证失败后禁止用户登录策略
weixin_53389944的博客
04-28 811
功能,并且您希望在用户认证失败后实施一定的安全策略,那么可以保留这行配置。配置文件中,这行配置的作用是指定在用户认证失败后禁止用户登录的策略。表示用户认证失败4次后禁止用户登录,并且解锁时间为0,即永久锁定需要手动解锁。模块用于设置用户认证失败的限制,包括最大的失败次数和解锁时间。功能,或者您不需要这种认证失败限制策略,可以考虑修改或删除这行配置。是一个条件语句,在这里表示只有当系统支持。功能时才包含该配置项。
Ubuntu 22报错:PAM unable to dlopen(pam_tally2.so)
高性价比服务器就选:蓝易云
03-31 972
这个错误是因为Ubuntu 22.04版本中已经不再支持pam_tally2模块,这个模块在之前的版本中被用于跟踪和阻止多次登录失败的尝试,但在新的版本中已经被pam_faillock模块取代。总的来说,处理这个问题需要一些对LinuxPAM的了解,但是只要你按照这些步骤操作,应该能够解决这个问题。如果你遇到任何问题,你都可以在网上找到许多关于PAMLinux的资源,这些资源可以帮助你解决问题。然后,你需要在/etc/pam.d/common-password文件中做类似的修改。
linux pam模块 cron,Linux-PAM 1.1.2 中文文档 - 6.32. pam_tally-登录计数器(统计)模块 | Docs4dev...
weixin_36190719的博客
05-15 443
pam_tally.so [file = * +2+ *] [onerr = [* +3+ * | * +4+ *]] [magic_root] [even_deny_root_account] [deny = * +5+ *] [lock_time = * +6+ *] [unlock_time = * +7+ *] [per_user] [no_lock_time] [no_reset] [审...
linux配置用户多次登录终端失败被锁定机制
weixin_51526597的博客
07-13 3223
linux配置用户多次登录终端失败被锁定机制
怎么pam_tally2.so 替换为 pam_faillock.so。
02-28
<think>好的,我需要帮助用户了解如何将pam_tally2.so替换为pam_faillock.so。首先,我应该确认这两个模块的作用和区别。pam_tally2用于跟踪用户登录尝试失败次数,而pam_faillock是更新的替代方案,提供更灵活的配置选项。 接下来,我需要考虑用户可能使用的系统版本,因为从RHEL/CentOS 7开始,推荐使用pam_faillock。因此,用户可能需要检查他们的系统版本是否符合要求。 然后,我需要回顾PAM配置文件的路径,通常是/etc/pam.d/目录下的文件,比如system-auth和password-auth。用户需要在这些文件中找到并替换相关的模块行。 替换过程中需要注意参数的变化,例如pam_tally2的deny=3和unlock_time=300可能需要转换为pam_faillock的deny=3和unlock_time=300。但pam_faillock的参数可能需要放在不同的位置,比如auth required pam_faillock.so preauth和account required pam_faillock.so。 同时,要提醒用户备份配置文件,避免配置错误导致登录问题。可能还需要调整参数的位置,比如将deny和unlock_time放在pam_faillock的参数列表中,而不是作为单独的行。 另外,需要检查是否存在残留的pam_tally2配置行,并确保所有相关文件中的替换都完成。最后,建议用户测试配置,使用错误密码触发锁定,验证功能是否正常,并检查日志文件确认配置生效。 在解释过程中,要使用步骤化的说明,保持结构清晰,并注意使用中文和正确的LaTeX格式。如果有不确定的地方,比如某些参数的具体转换方式,需要查证确保准确性,避免误导用户。</think>将`pam_tally2.so`替换为`pam_faillock.so`需要分步骤操作(以RHEL/CentOS 7+为例): $$注意:操作前务必备份配置文件$$ ```bash cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak cp /etc/pam.d/password-auth /etc/pam.d/password-auth.bak ``` ### 一、配置参数转换对照表 | pam_tally2参数 | pam_faillock参数 | |---------------|-----------------------| | `deny=3` | `deny=3` | | `unlock_time=300` | `unlock_time=300` | | `even_deny_root` | `even_deny_root` | | `root_unlock_time` | 无直接对应 | ### 二、具体替换步骤 1. **修改system-auth文件** ```diff # 原pam_tally2配置 -auth required pam_tally2.so deny=3 unlock_time=300 +auth required pam_faillock.so preauth silent deny=3 unlock_time=300 # 原account配置 -account required pam_tally2.so +account required pam_faillock.so ``` 2. **修改password-auth文件** ```diff # 原pam_tally2配置 -auth required pam_tally2.so deny=3 unlock_time=300 +auth required pam_faillock.so preauth silent deny=3 unlock_time=300 # 原account配置 -account required pam_tally2.so +account required pam_faillock.so ``` ### 三、新增会话配置(可选) 在`/etc/pam.d/system-auth`和`/etc/pam.d/password-auth`中添加: ```bash session required pam_faillock.so ``` ### 四、验证配置 ```bash # 查看失败记录 faillock --user [username] # 重置计数器 faillock --user [username] --reset ``` ### 五、注意事项 1. `pam_faillock`默认使用`/var/run/faillock`目录存储计数 2. 需要同时修改`system-auth`和`password-auth`两个文件 3. 测试时建议保留root用户SSH连接防止意外锁定 4. 使用`audit2allow`命令可排查SELinux相关问题 $$建议配置完成后执行:$$ ```bash # 触发锁定测试(故意输入错误密码) ssh user@localhost # 查看日志 tail -f /var/log/secure ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值